RASPAGEM DE DADOS (DATA SCRAPING): A PROTEÇÃO DE BASES DE DADOS PÚBLICAS PELA LGPD

Podemos observar diversos casos recentes de emprego das raspagem de dados (datas scraping) como tratamento indevido dos dados pessoais

1. Casos recentes envolvendo a técnica de raspagem de dados

Recentemente, observou-se diversas notícias de vazamento de dados de redes sociais como Facebook, Linkedin e Clubhouse em decorrência da técnica da raspagem de dados (data scraping).

Em 06 de abril deste ano, o Facebook confirmou que informações de mais de 530 milhões de usuários da plataforma foram disponibilizados publicamente em bancos de dados não seguros, ademais, a empresa alegou que os agentes obtiveram esses dados através da raspagem dos dados da plataforma antes de setembro de 2019. Há também notícias que a rede social ClubHouse teve um banco de dados SQL, contendo 1,3 milhões de registros de usuários, tornado público em fórum de criminosos online. Ainda, na semana passada, um arquivo contendo dados supostamente retirados de 500 milhões de perfis do Linkedin foi colocado à venda, com outros 2 milhões de registros vazados como uma amostra de prova de conceito pelo autor da postagem.

Todos esses casos possuem em comum o emprego da técnica de raspagem de dados (data scraping). Trata-se de uma técnica bastante conhecida que consiste na extração, de forma automatizada, de dados em páginas da internet, ou, nos casos mencionados, em bases de dados públicas das redes sociais.

Diante das notícias apresentadas, em que houve o vazamento de dados de milhares de usuários por meio do emprego da raspagem de dados, é possível abrir o debate sobre a responsabilidade das plataformas digitais pelos dados públicos de seus usuários. Em suma, questiona-se qual seria o papel das plataformas em criar mecanismos de privacy by default para dificultar ou impossibilitar as técnicas de raspagem de dados?

2. Lei Geral de Proteção de Dados (LGPD) e Dados Pessoais Públicos

Em primeiro lugar, cabe destacar que a Lei n. 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), dispõe que “o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificam a sua disponibilização” (art. 7º, §3º).

Na sequência, a Lei dispensa a exigência do consentimento para os dados tornados manifestamente públicos pelo titular, sendo resguardados os direitos e os princípios previstos na LGPD (art. 7º, §4º). Por fim, destaca-se que o art. 7º, §7º, da LGPD, dispõe que o tratamento dos dados pessoais publicizados pode ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, e dos fundamentos e princípios da Lei.

Observa-se, assim, que a LGPD também estipula a proteção aos dados pessoais tornados públicos pelo titular, o que inclui os dados inseridos pelos usuários em plataformas digitais.

Nesse sentido, entende-se que os casos apresentados podem configurar-se como incidentes de segurança, nos termos da Lei (art. 46, da LGPD), visto que houve a utilização indevida das ferramentas das plataformas indicadas para o tratamento inadequado dos dados pessoais dos usuários. Aliás, ainda que seja lícita a prática de data scraping, esta deve respeitas os direitos dos titulares e os princípios previstos na Lei n. 13.709/2018, destacando o direito à informação e o princípio da transparência.

Em que pese a menção na Lei sobre o “propósito legítimo”, que pode ser indicação da base legal do legítimo interesse (art. 10, da Lei n. 13.709/2018), é evidente que o emprego da raspagem de dados pessoais automatizada para construção de banco de dados sintetizados e disponibilização desses dados à venda trata-se de prática violadora dos direitos dos titulares e dos princípios da LGPD, que foge do legítimo interesse.

3. Responsabilidade das plataformas digitais e adoção de medidas de segurança

Alguns doutrinadores, como Danilo Doneda e Laura Mendes, consideram que a atividade de tratamento de dados pessoais enseja um risco intrínseco ante a potencialidade danosa em caso de violação dos direitos prescritos na LGPD. Assim, esses autores argumentam que um dos principais fundamentos da Lei seria justamente a mitigação dos riscos de dano.

Estendendo o raciocínio do risco inerente da atividade de tratamento de dados pessoais, entende-se que o data scraping indevido dos dados publicizados se encontram entre os riscos das atividades desenvolvidas por plataformas digitais, daí a responsabilidade destas no emprego de técnicas de segurança para restringir ou impossibilitar esses incidentes. Tal argumento fundamenta-se, inclusive, nos princípios da segurança e prevenção, previstos, respectivamente, no art. 6º, inc. VII e VIII, da LGPD.

É recomendável, assim, a adoção de medidas de segurança, como técnicas de privacy by default de modo a garantir maior controle dos usuários sobre as informações divulgadas. Cabe lembrar que o privacy by design e o privacy by default são princípios previstos expressamente no Regulamento Geral Europeu sobre Proteção de Dados, o GDPR, e, também, foram introduzidos pela LGPD no contexto nacional.

Tais técnicas consistem na adoção de mecanismos de privacidade por padrão, além de garantir mais opções ao usuário de minimizar a publicização dos seus dados pessoais. Assim, consiste em oferecer os titulares controle efetivo e suficiente sobre suas opções diante da proteção de seus dados pessoais na plataforma e exercício dos seus direitos.

Ressalta-se, por fim, que o próprio art. 46 da LGPD dispõe que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.

Portanto, a adoção de medidas técnicas e implementação de tecnologias para evitar ao máximo a raspagem de dados deve ser procedimento padrão das organizações, especialmente, no contexto das plataformas digitais, em que o risco deste tratamento inadequado dos dados pessoais é evidente e com elevada potencialidade de dados aos titulares.

4. Referências

BRASIL, Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, Diário Oficial da União, 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 21 abr. 2021.

CLARK, Mike. Entenda os fatos por trás da notícia sobre dados do Facebook. Facebook, 06 abr. 2021. Disponível em: https://about.fb.com/br/news/2021/04/entenda-os-fatos-por-tras-da-noticia-sobre-dados-do-facebook/?utm_campaign=newsletter_-_13042021&utm_medium=email&utm_source=RD+Station. Acesso em: 21 abr. 2021.

Clubhouse data leak: 1.3 million scraped user records leaked online for free. CyberNews, 10 abr. 2021. Disponível em: https://cybernews.com/security/clubhouse-data-leak-1-3-million-user-records-leaked-for-free-online/?utm_campaign=newsletter_-_13042021&utm_medium=email&utm_source=RD+Station. Acesso em: 21 abr. 2021.

Data protection by design and by default. Information Commissionser’s Office UK. Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-by-design-and-default/#dpd4. Acesso em: 21 abr. 2021.

GENRAL DATA PROTECTION REGULATION (GDPR). Art. 25, Data protection by design and by default. Disponível em: https://gdpr-info.eu/art-25-gdpr/.

MITCHELL, Ryan. Web Srcaping with Python: collecting data from the mordern web. São Paulo: Novatec, 2016.

OLIVEIRA, Cristina Godoy Bernardo de; ANDRADE, Luiz Carlos Jr. A responsabilidade civil do estado por danos no tratamento de dados pessoais: LGPD & LAI. Migalhas de Proteção de Dados, Migalhas, 13 nov. 2020. https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/336327/a-responsabilidade-civil-do-estado-por-danos-no-tratamento-de-dados-pessoais–lgpd—lai. Acesso em: 21 abr. 2021.

ROSENVALD, Nelson et. al. A LGPD e o fundamento da responsabilidade civil dos agentes de tratamento de dados pessoais: culpa ou risco?. Migalhas de Responsabilidade Civil, Migalhas, 30 jun. 2020. Disponível em: http://iapd-org-br-raspagem-de-dados-data-scraping–protecao-bases-de-dados-publicas-lgpd. Acesso em: 21 abr. 2021.

Scraped data of 500 million Linkedin users being sold online, 2 million records leaked as proof. CyberNews, 06 de abr. de 2021. Disponível em: https://cybernews.com/news/stolen-data-of-500-million-linkedin-users-being-sold-online-2-million-leaked-as-proof-2/?utm_campaign=newsletter_-_13042021&utm_medium=email&utm_source=RD+Station. Acesso em: 20 de abril de 2021.

+ posts

Graduanda em Direito pela Faculdade de Direito da USP Ribeirão Preto – FDRP. Integrante dos Grupos de Pesquisa “Tutela Jurídica dos Dados Pessoais dos Usuários da Internet” e “Observatório do Marco Civil da Internet” (CNPq) e do Grupo de Pesquisa “Tech Law” do Instituto de Estudos Avançados (IEA/USP). Associada Fundadora do Instituto Avançado de Proteção de Dados – IAPD (www.iapd.org.br). Bolsista FAPESP em Iniciação Científica (“Disseminação de informações falaciosas referentes ao processo eleitoral presidencial brasileiro de 2018: análise casuística e perspectivas de regulação”), orientado pela professora Dra. Cíntia Rosa Pereira de Lima.

Artigos relacionados

Respostas

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *